Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 6월 9일] 주요 보안 이슈
작성일 2017-06-09 조회 2278

 

 

 

1. [기사] WannaCry Lookalike가 타겟팅하는 Android 스마트 폰
https://www.bleepingcomputer.com/news/security/android-smartphones-targeted-by-wannacry-lookalike/
중국인 해커가 개발한 WannaCry와 비슷한 인터페이스를 사용하는 안드로이드용 랜섬웨어가 발견됐다. "King of Glory" 라는 유명 중국 게임으로 위장하여 배포중이며, 대게의 안드로이드 랜섬웨어가 "화면잠금" 레벨에 머무르는데 반해, 이 악성코드는 AES로 실제로 암호화하고 있어 주목할만하다. 안드로이드 기기의 성능한계로 10kb 이하의 파일만 암호화,  동작안정성을 위해 `.` 으로 시작하는 파일과 `android`, `com`, `DCIM`, `download`, `miad` 하위는 암호화하지 않는다. 외부 저장소에 있는 파일만 암호화 한다. 

 

2. [기사] CertLock Trojan, 보안프로그램 실행 방해 
https://www.bleepingcomputer.com/news/security/certlock-trojan-blocks-security-programs-by-disallowing-their-certificates/
Adware와 PUP계의 새로운 트렌드는 자신만의 보호 프로그램을 설치하여 윈도우즈 사용자가 보안프로그램을 실행하고 감염을 치료하는것을 더 어렵게 만드는 것이다. 이런 트렌드는 SmartService rootkit에서 관찰됐는데, AV 실행을 차단한다. 5월 말 보안포럼에서 여러 사용자가 보안프로그램 설치가 안된다고 호소하는것이 확인됐다. 설치 시도시, 차단된 인증서란 경고와 함께 설치에 실패한다. 조사결과 이는 CertLock 의 감염에 의한것으로 드러났다.  

 

3. [기사] 이터널블루, 트로이목마 악성코드 배포에 이용중
http://www.zdnet.com/article/leaked-nsa-hacking-exploit-used-in-wannacry-ransomware-is-now-powering-trojan-malware/
WannaCry의 ransomware 감염 확산을 도운 유출된 NSA 공격은 이제 트로이 목마 악성 코드 배포에 사용되고 있다. 이터널블루로 알려진 Windows 보안 결함은 미국 정보 기관에 알려진 것으로 추정되는 다수 중 하나였으며 Shadow Brokers해킹 그룹에 의해 유출되기 전에 감시를 수행하는 데 사용되었다. 이번에 SMB 취약점은 감염된 컴퓨터에서 백도어를 여는 트로이 목마 Backdoor.Nitol와 스파이웨어를 수행하고 훔치기 이외에 기계를 완전히 제어할 수있는 악성 코드 형태인 Gh0st RAT을 배포하는데 사용되고 있다. 연구원들은 SMB 익스플로잇에 취약한 머신이 이터널블루 익스플로잇을 사용하여 해커에 의해 공격 받아 머신에 쉘 액세스를 얻음을 주목한다.

 

4. [기사] 구글 Play 스토어, DVMap Trojan 발견
https://www.bleepingcomputer.com/news/security/google-removes-app-infested-with-new-and-deadly-dvmap-trojan-from-the-play-store/
http://news.softpedia.com/news/nasty-android-trojan-finally-removed-from-play-store-516335.shtml
http://thehackernews.com/2017/06/android-rooting-malware.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
백그라운드에서 악의적인 작업을 수행시키기 위해 기기 보안설정 사용을 중지하는 새로운 Android 기반 악성코드가 구글 Play 스토어에서 탐지됐다. 일단 정상 앱처럼 보이게 한 후, 임시로 악성코드로 전환하는 방식으로 구글의 앱 검증 매커니즘을 우회했다. 게임 앱 'colourblock' 로 위장하여 배포된 이 앱은 삭제되기 전까지 5만 다운로드를 기록했다. 'Dvmap' 으로 명명되었다.

 

5. [기사] [단독] 서울시여성능력개발원, 회원 계정 같은 비번으로 초기화해 공개‘파장’ 
http://www.boannews.com/media/view.asp?idx=55165&page=1&kind=1
서울특별시 산하 서울시여성능력개발원에서 랜섬웨어와 사이버공격에 대비한다는 명목으로 개인정보 보안강화 작업을 하면서 회원 비밀번호를 초기화하고 이를 회원들에게 공지하는 황당한 사건이 벌어졌다. 심지어 초기화된 비밀번호는 개인별로 부여하지 않고, 숫자로 만들어진 가장 쉬운 4자리 비밀번호 OOOO을 부여해 아이디와 생년월일만 알면 개인정보를 탈취할 수 있었다. 

 

6. [기사] 스팸 봇넷 통한‘재프’랜섬웨어 무작위 유포중
http://www.boannews.com/media/view.asp?idx=55166&page=1&kind=1
이번에 발견된 재프 랜섬웨어는 네커스(Necurs) 봇넷을 이용하여 급속도로 확산 중이다. 네커스 봇넷은 금융정보 탈취 악성코드인 드리덱스(Dridex)와 록키(Locky) 랜섬웨어 유포에 활용됐던 스팸 봇넷이다. 공격자는 이러한 스팸 봇넷을 활용하여 재프 랜섬웨어를 이메일을 통해 불특정 다수에게 무작위로 유포하고 있는 것으로 분석됐다. 피해자가 스팸 메일에 첨부된 PDF 문서파일을 실행할 경우 문서 내부의 또 다른 워드 문서 파일이 열람되며, 사용자가 매크로를 활성화하도록 유도한다. 매크로가 실행되면 명령제어(C&C) 서버에 연결하여 암호화 키를 받아오게 된다. 이후 특정 확장자를 가진 파일들을 찾아 암호화한 후 파일에‘.jaff’확장자를 추가한다. 

 

7. [기사] Fireball Malware in China
https://blog.malwarebytes.com/cybercrime/2017/06/fireball-chinese-malware/
파이어볼은 현재 브라우저의 기본 시작 페이지를 수정하고 Rafotech 검색 엔진으로 기본 검색 엔진을 변경하는 번들링(우리가 탐지 한 대부분의 PUP를 제공하는 동일한 감염 방법)을 통해 자주 설치되는 브라우저 도용자로 사용되고 있다. 또한 추적 픽셀을 사용하여 사용자 및 검색 습관에 대한 개인 정보를 수집한다. 불 덩어리는 다른 맬웨어(또는 맬웨어의 조합)를 삭제하고 사용자의 정보를 도용하거나 소셜 미디어 및 통신 계정을 도용하거나 모든 것을 스팸 확산 작업으로 사용할 수 있다.


 
8. [기사] 중국의 IP카메라 Foscam에서 취약점 발견
https://arstechnica.com/security/2017/06/internet-cameras-expose-private-video-feeds-and-remote-controls/
중국 기반의 Foscam이 제조한 보안 카메라는 공격자가 비디오 피드를보고 저장된 파일을 다운로드하고 로컬 네트워크에 연결된 다른 장치를 손상시킬 수 있는 원격 인계 해킹에 취약하다. Foscam은 다른 많은 카메라 모델에서 약점이 존재할 가능성이 높으며 다른 브랜드 이름으로도 판매하고 있다. 세 가지 취약점은 하드 코드 된 계정 암호(비어있는 암호)가 들어있는 파일 전송 프로토콜 서버 내장, 공격자가 장치 기능을 확장 할 수있는 숨겨진 및 문서화되지 않은 텔넷 기능, 장치가 시작될 때마다 실행되는 프로그래밍 스크립트에 지정된 잘못된 권한이다. 

 

9. [기사] 코미: 러시아, 선거 해킹은 수 백개 단체를 목표로 진행
https://motherboard.vice.com/en_us/article/comey-russian-hackers-100s-entities-election
이번 주 초 보고서에서 The Intercept는 미국의 투표 인프라와 관련된 회사인 VR Systems에 대해 또 다른 혐의 대상을 확인했습니다. 코미는 그가 FBI에있는 동안 러시아 해킹이 직접적으로 투표를 조작했다는 어떠한 증거도 발견하지 못했다고 반복했다. 물론 러시아 해커들의 공격은 미국 선거 이후 중단되지 않았다. 사실 마더 보드가 선거일 이후에보고 한 것처럼, 러시아 정부와 연계 된 해커들은 트럼프의 승리 연설 후 단 몇 시간 만 에 일련의 스피어 피싱 공격을 시작 했다. 코미는 후기 증언에서 선거를 간섭하는 것을 언급하면서 그들의 장기적인 관행이라며 이렇게 말했다. "그들은 돌아올거야."

 

10. [기사] VMware, VSPHERE data protection 솔루션에서 발견된 취약점 패치 (CVE-2017-4917)
https://threatpost.com/vmware-patches-critical-vulnerabilities-in-vsphere-data-protection/126150/
VMware는 이번 주 vSphere 데이터 보호 솔루션에서 치명적인 두 가지 취약점을 수정하여 공격자가 가상 어플라이언스에서 명령을 실행할 수 있도록 허용했다. VMware는 또한 자격 증명을 저장하는 방법과 관련된 VDP의 두 번째 취약점에 대해 경고했다. 권고에 따르면 VDP는 가청성 암호화를 사용하여 vCenter Server의 자격 증명을 저장하므로 일반 텍스트 자격 증명을 얻을 수 있다. 이 솔루션에는 키 기반 인증을 허용하도록 구성된 알려진 암호가 있는 개인 SSH 키가 포함되어있는 것으로 확인되었다. 악용된 경우 이 문제로 인해 권한이 없는 원격 공격자가 루트 권한으로 어플라이언스에 로그인 할 수 있다.

 

11. [기사] 시스코, 프라임 데이터 센터 네튼워크 관리 소프트웨어 취약점 패치
https://threatpost.com/cisco-patches-critical-flaws-in-prime-data-center-network-manager/126147/
시스코의 대규모 데이터 센터 관리 소프트웨어의 배치에 남아있는 디버깅 툴은 원격으로 액세스 할 수 있으며 공격자가 루트 권한으로 코드를 실행할 수 있다. 공격자가 원격으로 TCP를 통해 디버깅 도구에 연결하여이 취약점을 악용할 수 있다. 악용에 성공하면 공격자가 영향을받는 소프트웨어에 대한 중요한 정보에 액세스하거나 영향을 받는 시스템에서 루트 권한으로 임의의 코드를 실행할 수 있다. 해결된 두 번째 중요한 취약점은 공격자가 관리 콘솔에 로그인하는데 사용할 수 있는 하드 코드된 정적 자격 증명이다. 공격자가 루트 또는 시스템 수준의 권한을 얻을 수 있다. 

 

12. [기사] Wireshaek 2.2.7 버전 릴리즈
http://news.softpedia.com/news/wireshark-world-s-popular-network-protocol-analyzer-gets-new-stable-release-516324.shtml
Wireshark 2.2.6 릴리스 이후 거의 2 개월만인 이 새로운 유지 관리 업데이트는 DOF 및 DHCP 해독기의 읽기 오버 플로우 취약점, Bazaar, SoulSeek, DNS 및 DICOM의 무한 루프 문제뿐만 아니라 openSAFETY dissector의 메모리 고갈 버그를 해결한다. 또한 BT L2CAP 해독기의 보안 결함과 MSNIP, ROS, RGMP 및 IPv6 해독기의 여러 가지 문제를 해결하며, Wireshark 2.2.5의 회귀를 수정하여 캡처 된 DICOM 객체를 내보낼 수 없으며 최근에 보고된 총 25개의 문제를 복구한다.

 

13. [기사] Windows 10 S에서 알려진 Ransomware 동작 없음
https://www.bleepingcomputer.com/news/security/no-known-ransomware-works-against-windows-10-s/
현재 알려진 ransomware 스트레인은 Windows 10 S에 감염될 수 없다고 MS는 지난 달 윈도우 10 크리에이터스 업데이트의 출시로 출시된 차세대 ransomware 보호 기능에 대해 자세히 설명하는 새로운 보고서를 발표했다. Windows Enterprise 및 Security의 프로그램 관리 담당 이사인 Robert Lefferts는 Windows 10 Creators Update에 추가된 새로운 반(反) ransomware 보호 기능을 발표하면서 5월 중순에 발생한 WannaCry ransomware 최신 감염으로 Windows 10 고객이 영향을 받지 않았음을 확인했다.

첨부파일 첨부파일이 없습니다.
태그 WannaCry  CertLock Trojan  DVMap Trojan  Fireball Malware   Foscam